2. Sommaire
Chapitre Introductif:
Les scandales financiers ou l’hypocrisie du contrôle interne
Chapitre 2:
Contrôle Interne
1. Définitions
2. Le référentiel COSO 1 - retour d’expérience et limites du CI
3. Diagnostic du système de contrôle interne par domaine de gestion
4. Sarbanes Oxley Act
5. Contrôle interne et gouvernement d’entreprise
6. Contrôle interne et gestion des risques ou le référentiel COSO 2
7. Contrôle interne et fraude
Chapitre 3:
Audit interne - Normes - Approche méthodologique
Chapitre 4:
Le commissaire aux comptes – STATUT- MISSIONS 2
3. ► Après avoir suivi ce module, vous devrez être capables de :
► Comprendre la différence entre l’audit interne, l’audit externe,
le management du risque et le contrôle interne
► Comprendre les changements réglementaires applicables
► Identifier les différents objectifs et les enjeux
Objectifs du module
4. 1. Introduction - Règlementation
2. Définitions & Objectifs
3. Principes fondamentaux du CI
4. Les moyens du contrôle interne
5. Les référentiels du CI
6. Stratégie & Technique d’évaluation
7. Étude de cas ENTONWARE
Agenda:
6. Plusieurs crises successives ont ébranlé la confiance des
marchés sur la maîtrise et la véracité de l’information financière
publiée :
ENRON
WORLDCOM
Les nouvelles dispositions réglementaires sont une réponse
législative à la crise de confiance des marchés financiers
Désormais :
Les dirigeants doivent s’engager sur la qualité du contrôle
interne → Risques pénaux et financiers
La réglementation internationale change et devient de plus en
plus contraignante
Introduction- Réglementation:
Introduction:
7. La loi Sarbanes-Oxley a été adoptée en juillet 2002 et vise à promouvoir le
gouvernement d’entreprise et à mieux protéger les investisseurs.
Champ d’application : Toutes les sociétés dont les titres sont enregistrés
auprès de la SEC, organe fédéral américain de réglementation
financière.
2 sections de la loi traitent des obligations liées au Contrôle Interne :
Section 302 : Certification périodique par les dirigeants de l’efficacité des procédures et
des contrôles sur les informations publiées dans les rapports périodiques
→ Responsable : Le Directeur Général (Président ou non)
Section 404 : Évaluation annuelle des contrôles internes sur l’établissement des états
financiers par les dirigeants et attestation annuelle des auditeurs externes sur ce rapport.
Ainsi, le Directeur Général et le Directeur Financier doivent :
Réitérer leur responsabilité pour l’établissement et le maintien d’une « structure de
contrôle interne et des procédures pour l’établissement des états financiers »,
Évaluer leur efficacité, impliquant une formalisation de cette structure et une
documentation des procédures.
→ Responsable : Le « Management » est responsable du contrôle interne
Introduction- Réglementation
Réglementation – Etats-Unis
8. En France, la Loi sur la Sécurité Financière (LSF) a été adoptée par le Sénat
en mars 2003 et fait suite au rapport Bouton sur la gouvernance d’entreprise.
Elle a été votée le 1er août 2003.
Champ d’application : Toutes les Sociétés Anonymes,
La LSF s’inscrit dans un cadre qui dépasse largement le contrôle interne.
Trois articles traitent des obligations liées au CI :
Article 117 : Obligation d’information de l’Assemblée Générale par le Président du
Conseil d’Administration ou de Surveillance, dans un rapport joint au rapport annuel,
sur les conditions de préparation et d’organisation des travaux du conseil
d’administration, ainsi que sur les procédures de CI mises en œuvre.
→ Responsable: Le Président du Conseil d’Administration ou de Surveillance
Article 120 : Présentation à l’Assemblée Générale par le Commissaire Aux Comptes
d’un rapport sur la sincérité du rapport du président sur le contrôle interne.
→ Responsable : CAC
Article 121 : Obligation pour les sociétés faisant appel public à l’épargne de publier ces
informations.
→ Responsable : Personne morale (société) faisant appel public à l’épargne.
Introduction- Réglementation
Réglementation - France
9. Introduction- Réglementation
Réglementation - France
En juin 2013, publication d’une version révisée de l’Afep-Medef, le code de
gouvernement des sociétés côtées ou sociétés anonymes à partir de juin 2013
Mise en place d’un Haut-Comité qui aura pour mission d’interpréter les dispositions du
code, de proposer les mises à jour, de s’auto-saisir en cas de non-application
Un champ d’application élargit
Contrôle de la rémunération des mandataires sociaux par l’assemblée générale : le
« Say on pay »
Les indemnités de prise de fonction « Golden hello » sont reconnues, mais doivent être
communiquées
Les indemnités de non-concurrence sont plus strictement encadrées et doivent être
reconnues par le Conseil d’administration
Limitation des parachutes dorés : l’indemnité ne peut pas dépasser deux ans de salaire
et doit s’appuyer sur des preuves de compétences appréciées sur au moins deux
exercices.
Cumuls des mandats : un code plus restrictif
Une force accrue conférée à la règle dite du « Comply or explain » : lorsqu’elles
voudront s’écarter de la réglementation, les entreprises devront présenter
rigoureusement les motifs de cet écart et présenter les alternatives choisies.
10. La loi sur la Sécurité
financière ou LSF
▪ Transparence et fiabilité
de l’information
▪ Responsabilité des
dirigeants
Afep- MEDEF
• Encadrement de la
gouvernance de
l’entreprise
La loi Sarbanes – Oxley
▪ Certification et évaluation
par les dirigeants de
l’efficacité du contrôle
interne
▪ Contrôle périodique de
l’information publiée
Assurer la transparence et la fiabilité des
informations publiées par les sociétés.
Introduction- Réglementation
Pourquoi ces Réglementations ?
12. Définitions & Objectifs
Définition du contrôle interne
Définition:
Les normes de l’IFAC définissent le système de contrôle interne comme étant
l’ensemble des politiques et procédures mises en œuvre par la direction d’une
entreprise en vue d’assurer, dans la mesure du possible, une gestion rigoureuse et
efficace de ses activités.
Ces procédures de contrôle interne impliquent:
Le respect des politiques de gestion
La sauvegarde des actifs
La prévention et la détection des fraudes et des erreurs
L’exactitude et l’exhaustivité des enregistrements comptables
La publication en temps voulu d’informations financières fiables (normes ISA 400 § 8)
Ainsi, le système de contrôle interne s'entend au-delà des questions directement
liées au système comptable.
13. Définitions & Objectifs
Définitions du contrôle
► Quelles différences entre le contrôle interne, l’audit interne et le managements des
risques?
Bien que ces trois notions soient souvent confondues, il s’agit en réalité de trois étapes de la
gestion des risques en entreprise.
► Le Management du risque identifie et traite méthodologiquement les risques relatifs aux
activités d'une organisation, quelles que soient la nature ou l'origine de ces risques.
► Le contrôle interne est un complément du management du risque. Il est la procédure qui
permet de contrôler la méthodologie de traitement du risque instaurée par le management des
risques.
► L’Audit Interne a pour objectif de donner à une organisation une assurance sur le degré de
maîtrise des opérations de contrôle interne Il lui apporte ses conseils pour les améliorer, et
contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en
évaluant, par une approche systématique et méthodique, ses processus de management des
risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour
renforcer leur efficacité.
14. Définitions & Objectifs
La méthodologie d'audit interne
• Comprendre et
documenter :
- Les attentes de la
Direction
- La stratégie, les
objectifs et les
risques majeurs de
l'entreprise
• Définir les indicateurs de
suivi de la performance
des travaux menés par
l'Audit Interne
• Modéliser l'activité en
recensant les processus
et axant sur les :
- risques majeurs
- le dispositif de
contrôle interne
- les indicateurs de
performance
- les facteurs clefs de
succès
• Identifier les entités à
auditer et le niveau de
risque de chaque
processus audité
• Identifier les audits à
mener dans l'année
• Développer une
stratégie d'audit pour les
processus clefs
• Résumer et présenter
l'évaluation des risques
à la Direction Générale
et au Comité d'Audit
• Organiser le partage
et la collecte
d'informations
• Exécuter les missions
d'audit prévues
• Utiliser des outils
analytiques pour
renforcer l'efficacité des
audits et mener des
tests approfondis
• Restituer les résultats de
chaque mission d'audit à
la Direction Générale et
au Comité d'Audit
• Evaluer la performance
et le niveau de
satisfaction des attentes,
des travaux menés par
l'Audit Interne et dresser
un bilan de l'impact
opérationnel des travaux
et des recommandations
sur le déroulement de
l'activité et sur le
dispositif de contrôle
interne
• Restituer les résultats à
la Direction Générale et
au Comité d'Audit
1998
1998
!@#$
Value
Value
Value
Value
Measuring Value
Delivering on Expectations,
1998
1998
1998
1998
!@#$
Value
Value
Value
Value
Measuring Value
Delivering on Expectations,
Identifier les
attentes
Evaluer les
risques
Elaborer le
plan annuel
d'audit
Dérouler le plan
d'audit
Communiquer
les résulats
Elaborer la cartographie des risques et le plan d'audit Réaliser une mission d'audit Communication/Déploiement
15. Définitions & Objectifs
Objectifs du contrôle interne dans les SI
Le Contrôle Interne (CI) est un dispositif mis en œuvre par la
Direction Générale, le management, ou le personnel d’une
entreprise, destiné à fournir une assurance raisonnable quant à la
réalisation d’objectifs appartenant aux catégories suivantes :
➢Réalisation et optimisation des opérations : on cherche à réduire les risques liés à
l’activité dans un environnement informatisé
➢Fiabilité des informations financières : on s’assure de la réalité du reporting financier
produit par les SI.
➢Conformité par rapport aux lois et aux réglementations en vigueur,
16. Interne
• Le management
• Le conseil d’administration
• Le comité d’audit
• L’encadrement
• Les membres du personnel
• Les auditeurs internes
Externe
• Législateurs, autorités de tutelle
• Les clients, fournisseurs, banquiers
• Les auditeurs externes
Définitions & Objectifs
Les acteurs du contrôle interne
«Chacun dans l’organisation détient des responsabilités vis à vis du CI.»
17. Définitions & Objectifs
Objectifs du contrôle interne
Pour atteindre ses objectifs à la fois d’efficience et de sécurité, la
direction de l’entreprise doit clairement définir les tâches de
chacun. Plus ces définitions de responsabilité seront claires et
précises moins le risque de mauvaise interprétation et donc
d’erreur sera élevé.
Cette organisation doit définir en particulier:
Les consignes d’exécution des tâches
Les documents utilisés et leurs contenus
La diffusion et la conservation de ces documents
Les autorisations et approbations
La saisie et le traitement des informations
La relation avec les autres services et directions
18. ► La période actuelle s’ouvre sur un double paradoxe :
► Les pressions économiques n’ont jamais été aussi fortes pour inciter les acteurs à des pratiques
frauduleuses
► Le prix à payer et les risques potentiels, pour de telles pratiques en inadéquation avec les législations de
plus en plus coercitives n’ont jamais été aussi importants
► De la confiance à la fraude :
► Pour un employé sur cinq « Quel que soit le degré de séniorité il est acceptable de payer des pots de vin
pour gagner ou conserver du business »
Ernst & Young , European Fraud Survey 2011, Recovery Regulation and Integrity, p 2
► Les fraudes au sein des entreprises sont découvertes à :
► 40% suite à une dénonciation.
► 17,4% par l’audit interne
► 16,1% par le management
► 3,9% par l’audit externe
European Fraud Survey 2011, Recovery Regulation and Integrity, Ernst & Young Ernst & Young , European
Fraud Survey 2011, Recovery Regulation and Integrity, p 1-25
► Les auditeurs externes, comme contrôle anti-fraude , ne permettraient que de réduire de 24 à 17
mois la durée moyenne d’une fraude.
Définitions & Objectifs
L’exemple de la fraude - enjeux
19. ► Norme (ISA) 240, « Responsabilités de l’auditeur concernant les fraudes
lors d’un audit d’états financier », Définitions paragraphe 11a
► « Un acte intentionnel commis par une ou plusieurs personnes parmi les membres
de la direction, les responsables de la gouvernance, les employés ou des tiers,
impliquant le recours à des manœuvres trompeuses dans le but d’obtenir un
avantage indu ou illégal »
► Ne pas confondre l’erreur et la fraude
► La méthodologie d’audit différencie aussi l’erreur de la fraude. « Des anomalies dans
les états financiers peuvent être le résultat de fraudes ou d’erreurs. L’élément
distinctif entre la fraude et l’erreur réside dans le caractère intentionnel ou non de
l’acte qui est à l’origine de l’anomalie. »
Définitions & Objectifs
L’exemple de la fraude - définitions
20. ► La typologie
► Détournement d’actifs : le fraudeur vole ou détourne des ressources de l’organisation
► Vol d’actifs tangibles ou intangibles (détournement des stocks de l’inventaire pour l’enrichissement
personnel)
► Détournement des produits reçus (du compte de l’entreprise au compte personnel de l’employé)
► Paiement de biens et services fictifs
► Utilisation d’actifs de l’entreprise à des fins personnelles
► Corruption : l’employé a utilisé son influence lors d’une transaction commerciale, pour
outrepasser ses droits conférés par son employeur afin d’en dégager un bénéfice pour lui-même
ou pour un tiers
► Vol
► Extorsion de fonds
► Conflits d’intérêts
► Etats financiers frauduleux : une erreur intentionnelle ou une omission intentionnelle
d’informations ayant un impact significatif à la lecture raisonnable des états financiers de
l’organisation.
► Enregistrement de chiffre d’affaire fictif,
► Augmentation artificielle de la valeur d’un actif
► Dissimulation de charges
► Minoration du passif
Définitions & Objectifs
L’exemple de la fraude - définitions
21. La protection des actifs: fraude, détournement d’actifs, erreurs et falsification
d’informations financières, destruction d’informations ...
L’optimisation des ressources: le CI doit permettre d’améliorer les performances
grâce à une optimisation des ressources qui passe par une utilisation efficace des
moyens aussi bien financiers , humains, informationnels que matériels
Objectifs opérationnels
La notion de fiabilité recouvre plusieurs aspects: L’établissement des comptes
annuels conformément aux principes comptables. Les comptes doivent refléter
l’exhaustivité des transactions et la réalité du patrimoine
L’objectif de fiabilité intègre des sous-jacents tels que l’exhaustivité, la réalité, la
correcte évaluation, l’enregistrement sur la bonne période et l’imputation et la
correcte centralisation.
Objectif de fiabilité des
informations
Notion de conformité : Cet objectif peut concerner aussi bien les objectifs
opérationnels que de fiabilité des informations.
Conformité des lois et
règles en vigueur
Définitions & Objectifs
Objectifs du contrôle interne
24. Affaire ENRON
16ème firme
mondiale
40 milliards de dollars de dettesimpayées.
8000 licenciements immédiats.
CA EN 2000:
100 MILLIARD $
CHUTE
DE LAVALEUR
BOURSIERE
DE 90 $ A0.60 $
Premier courtier
mondial en énergie
2
4
25. Les règles
comptables
La réévaluation artificielle des actifs;
Intense lobbying auprès des parlementaires
américains;
Création des structures financières special
purposes entities (SPE);
La présentation de comptes pro forma
2
5
26. Audit et Conseil
Cabinet Andersen : Certification
des comptes falsifiés afin de
préserver ses activités de
conseil auprès d’Enron;
Implication des banques
d’affaires: participent à
l’ingénierie financière utilisée par
le courtier en énergie,
conseiller à l’achat de leurs titres
par l’intermédiaire de leurs
analystes financiers
2
6
27. Gouvernement
d’entreprise
Absence du rôle de surveillance
Les investisseurs étaient
censés exercer un plus grand
contrôle
Les stock-options: Les
managers servaient leur propre
intérêt
2
7
28. Worldcom
2002
Une entreprise de télécommunication
américaine.
Le scandale des manipulations comptables
Près de 11 milliards de dollars de revenus totalement
fictifs.
29. Worldcom
Suite à cette
découverte,
l'action de
Worlcom a
baissé de 90 %
le lundi
premier juillet
la cotation de l'action avait été suspendue au Nasdaq du 26
juin jusqu'au premier juillet.
30. Worldcom
Le 14 avril 2003, WorldCom U.S a choisi de
changer de nom pour adopter celui de
Bernard Ebbers, ancien président de WorldCom a
été condamné le 13 juillet 2005 à 25 ans de prison
pour avoir orchestré la plus importante fraude
comptable de l'histoire américaine.
31. L’affaire Norbourg
2005, au Québec
Une entreprise de fonds de
placement
Une fraude financière
Détournement de 130 millions
de CAD fraudant 8 000 à 9 000
investisseurs
PDG Vincent Lacroix
32. Madoff Securities
Bernard L. Madoff Securities (alias Madoff Securities) a été fondée
en 1960
Ses clients sont des banques, des intermédiaires, des institutions
financières, des fonds de gestion à haut risque (hedge funds), des
« zinzin » (investisseurs institutionnels) et quelques individuels
fortunés.
Elle gère entre autres pour le compte de ses clients des comptes
d’actions du Nasdaq et du New York Stock Exchange, particulièrement
des S&P500(1)
Madoff Sécurities aurait entre 11 et 25 clients directs.
Cette entreprise est contrôlée par Freshling & Horowitz, un cabinet
d’expert comptable inconnu employant 3 personnes, dont deux
comptable et une secrétaire dans laquelle, (sous réserve de
confirmation de l’enquête) l’opération de « vases communicants » de
l’escroquerie se serait pratiquée depuis 1970.
(1) marché américain des actions des 500 sociétés les plus cotées en bourse.
33. Ponction sur capital
Clients
PYRAMIDE MADOFF
(système dit Ponzi)
Apports Retraits
Capital
Opération sous
contrôle de
Frieshling &
Horowitz, experts
comptables
INVESTISSEMENT +
Retour
réel sur
investissement
Investissement
Retour apparent
Sur investissement
Commissions, frais de
gestion et ... Rémunération
de « frais annexe »
34. 34
L’hypocrisie du contrôle interne
Enron et les autres , aujourd'hui, sont le symbole de l'échec sur tous
les plans des mesures decontrôle.
Les conseils d'administration ont failli, les auditeurs des comptes ont
failli, les conseillers juridiques ont failli, ...
Se moquer des contrôleurs considérés comme« des centres de coûts
non productifs » est depuis longtemps la règle.
Les auditeurs internes aboient et la caravane passe.
Les organes de tutelle qui ferment les yeux sur cette grande hypocrisie:
La vérité est que l’absence de contrôle et de régulation amènent
automatiquement des comportements qui se généralisent sur le
principe du « pas vu pas pris » et qu’ils finissent par être le
fonctionnement normal du système … jusqu’à ce que la crise amène à
donner en pâture au public quelques boucs émissaires … un public
qui, sous une forme ou une autre, finira par payer la note.
35. Définition
➢Les termes de contrôle, révision, audit sont utilisés généralement
indistinctement pour signifier les opération de vérification des systèmes et
procédures et/ ou comptes annuels d’une entreprise par une personne qui
n’a pas participé à leur élaboration.
➢Les expressions « audit externe » ou « contrôle externe » s’emploient
lorsque les opérations de vérifications sont menés par un professionnel
extérieur à l’entreprise.
➢L’audit interne désigne généralement le service de l’entreprise chargé de
la vérification des conditions d’application des procédures en vigueur et leur
amélioration.
➢Le système de contrôle interne est l’ensemble des politiques et
procédures mises en œuvre par la direction d’une entité en vue d’assurer,
dans la mesure du possible, la gestion rigoureuse et efficace de ses activités
37. Définition
« Le CI est le processus mis
d’administration, les dirigeants
en œuvre par le conseil
et le personnel d’une
organisation, destiné à fournir une assurance raisonnable
quant aux objectifs fixés.
Les objectifs fixés sont les suivants :
➢ la réalisation et l’optimisation des opérations,
➢ la fiabilité des opérations financières,
➢ la conformité aux lois et aux réglementations en vigueur »
COSO (Committee Of Sponsoring Organizations) publié en 1992
37
38. 38
Principes fondamentaux du contrôle interne
Le contrôle interne prend appui sur des principes
fondamentaux:
Organisation;
Séparation des fonctions;
Autocontrôle;
Bonne information;
Qualité du personnel;
Harmonie;
Universalité;
Indépendance;
Permanence.
39. Les acteurs du contrôle interne
Direction
Générale
Compliance
Audit Interne
Direction
Financière
Directions
Opérationnelles
Risk
Management
Direction
Informatique
Dispositif de contrôle interne
Dispositif de contrôle interne
Renforcer la
gouvernance
Maîtriser les
risques
Clarifier les
responsabilités
Fiabiliser
l‘info financière
Optimiser
les processus
Prévenir
la fraude
Enjeux
39
40. Le cube COSO
l
neÉvaluation des R
éisques
o
n
c
e m
i
t 2
a
t
i
o
r é
é
r A
a
c
n
tivités dn
e
f
Contrôle t
O
p F
i
n
C
o 1 v
i
é t
i
t i c
v A
i
Pilotage B c
t
é A
Information et A n
t
i
Communication é U
t
i
n
U
Unité
A
Unité
B
Activité
1
Activité
2
Pilotage
• Suivre l’ensemble du
processus, l’adapter le cas
échéant
Activités de contrôle
• Élaborer les normes
et procédures de
contrôle
• Appliquer ces normes
et procédures
Activités de Contrôle
Évaluation des Risques
Environnement de
Contrôle
Pilotage
Information et
Communication
Activités de Contrôle
Évaluation des Risques
Environnement de
Contrôle
Environment de contrôle
• Définir l’environnement dans lequel
les personnes accomplissent leurs
tâches
• S’assurer des qualités individuelles
des collaborateurs et surtout leur
intégrité, leur éthique et leur
compétence
Evaluation des risques
• Avoir conscience des risques
et les maîtriser
• Fixer des objectifs et les
intégrer aux activités (
commerciales, financières,
de production, de
marketing...)
• Instaurer des mécanismes
permettant d’identifier,
analyser et gérer les risques
correspondants
Information et Communication
• S’assurer que les systèmes
d’information et de communication
permettent au personnel de
recueillir et échanger les
informations nécessaires à la
conduite, à la gestion et au contrôle
des opérations
40
41. Limites du contrôle interne
Le système de contrôle interne ne peut fournir qu’une
assurance raisonnable quant à la réalisation des objectifs.
La probabilité d’atteindre ceux-ci est soumise aux limites
inhérentes à tout système de contrôle interne
Des événements et des situations peuvent échapper au
contrôle de dirigeants
41
42. 42
Limites du contrôle interne
➢Jugement erroné : l’efficacité des contrôles sera limitée par
le risque d’erreur humaine lors des prises de décisions ayant
un impact sur les opérations de l ’entreprise ;
➢ Dysfonctionnements : Mauvaises interprétations des
instructions, erreur par manque d ’attention ou à cause de la
routine, manque de formation... ;
➢ Contrôles outrepassés dans le but d ’en tirer profit,
d ’améliorer la présentation des résultats, dissimuler la non-
conformité aux obligations légales
43. 43
Limites du contrôle interne
➢Ratio Coût/Bénéfice : Les entreprises doivent comparer les
coûts et avantages relatifs des contrôles avant de les mettre
en place( corrélation coût/activités)
➢Collusion : la collusion entre deux ou plusieurs personnes
peut déjouer le système de contrôle interne (employé
chargé d’une fonction de contrôle et client ou fournisseur…)
44. Limites du contrôle interne - lors de son appréciation
liées aux auditeurs
leurs aptitudes à assumer la fonction,
leurs connaissances,
leur formation,
leurs qualités intrinsèques.
liées aux audités
leur comportement,
leurs réactions face aux contrôles qu’ils subissent,
leurs habitudes.
Liées à l’attitude des dirigeants
rattachement hiérarchique de l’audit interne,
élaboration du programme annuel,
prise en compte des recommandations.
44
46. Approche générale
1 Diagnostic du système de contrôle interne
par domaine de gestion
Domaine
Stratégie
Domaine
Organisation
Domaine
Gestion
Courante
Domaine
Système
d ’information
2 Renforcement du système de contrôle interne
Plan de refonte de
certaines procédures
Plan de correction de
certaines procédures
Plan de mise à niveau
desstructures
decontrôle
3 Plan d’action
46
47. Le diagnostic du système de contrôle interne
* Objectifs
Le renforcement d ’un système de contrôle interne doit
s’appuyer sur un premier diagnostic…
1/ Recenser les contraintes / opportunités réglementaires en prenant en
compte les métiers, l’organisation et la culture de l’entreprise
2/ Réaliser un inventaire des points forts / points faibles de l’entreprise au
regard des Obligations réglementaires et des règles de gestion
3/ Restituer / intégrer les évolutions organisationnelles et informatiques
récentes ou en cours dans la Problématique « système de contrôle interne »
47
48. DOMAINES DU DIAGNOSTIC
Le diagnostic du système de contrôle interne
*Domaines du diagnostic
ORGANISATION
STRATEGIE
GESTIONCOURANTE
SYSTEMED’INFORMATION
CONTRÔLE
INTERNE
48
49. ORGANISATION
STRATEGIE
Le diagnostic du système de contrôle interne
Domaine1 : Planification stratégique
1
2
GESTIONCOURANTE
SYSTEME D’INFORMATION
•Processus de planification stratégique
•Analyse de l ’environnement et du
potentiel interne
•Chronologie de réalisation du plan
stratégique
• Suivi de la réalisation du plan stratégique
•Analyse et explication d ’écart entre
prévisions et réalisations
•Elaboration de plans glissants et de mise
à jour du plan stratégique
Le contrôle interne est aussi un moyen de réduire
les survenances de risques dans le processus de la planification stratégique...
3
49
4
50. STRATEGIE
Le diagnostic du système de contrôle interne
Domaine2 : Organisation
2
1
ORGANISATION
GESTIONCOURANTE
SYSTEME D’INFORMATION
•Adéquation organisation / objectifs /
moyens
•Répartition des responsabilités
•Qualités des structures de contrôle
(contrôle de gestion, audit interne,
inspection, …)
•Evolution de l ’organisation et effets
sur l ’amélioration du système de
contrôle interne
3
4
50
51. Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante
1
STRATEGIE
2
SYSTEME D’INFORMATION
•Le domaine gestion courante peut être
décomposé selon différents cycles
d ’activités ...
Risque de règlement
Risques opérationnels
Risque commercial
Risque comptable,
...
ORGANISATION
3
GESTIONCOURANTE
4
51
52. Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante
VENTES-
CLIENTS
52
TRESORERIE ACHATS -
FOURNISSEURS
CYCLES
Immobilisations
STOCKS
PAIE
53. Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante VENTES-
CLIENTS
53
Exemple :
Cycle de ventes : Pratiques de contrôle interne à valider
– Toutes les commandes sont traitées rapidement (Pas
de livraison pouvant générer ultérieurement des
litiges).
– Les conditions de la commande sont acceptables (elles
doivent être établies avec soin avant d’accepter la
commande).
– Le client est solvable : la commande reçue ne doit pas
impliquer un dépassement du crédit maximum qui lui
est alloué.
– Les factures sont toutes correctement et rapidement
établies et enregistrées.
54. Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante VENTES-
CLIENTS
54
Exemple (suite …) :
Cycle de ventes : Pratiques de contrôle interne à valider
– Les quantités livrées ont été correctement saisies et
correspondent aux quantités commandées et aux quantités
facturées.
– Les prix sont correctement appliqués et les différents rabais ou
remises accordés en fonction des accords passés avec les
clients.
– La facture est arithmétiquement correcte.
– La relance des clients est systématique et les provisions sont
constatées.
– Le suivi des encaissements est assuré.
55. Objectifs généraux du contrôle interne
Immobilisations
55
Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante
Objectifs généraux du contrôle interne
Toutes les immobilisations ainsi que les charges et produitsannexes
sont enregistrés (exhaustivité).
Toutes les immobilisations ainsi que les charges et produits
correspondants sont réels (réalité), appartiennent à l'entreprise et
sont correctement protégés.
Toutes les immobilisations, ainsi que les charges et produits
correspondants sont correctement évalués.
56. Principales caractéristiques du cycle immobilisations
Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante
Immobilisations
56
Principales caractéristiques du cycle immobilisations
Le processus type d'une opération d'investissement
➢étude et décision d'investissement,
➢procédure d'acquisition et de mise en place,
➢utilisation, entretien et protection,
➢décision de remplacement, de cession ou de mise au rebut.
57. Acquisition ou amélioration des immobilisations
Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante
Immobilisations
57
Acquisition ou amélioration des immobilisations
Objectif:
Acquérir le matériel nécessaire à assurer l ’activité tout en
optimisant le rapport qualité/prix
Mise en œuvre :
l’établissement d ’une liste des investissements possibles
ladétermination d ’enveloppe destinée à l ’investissement,
l’analyse de la rentabilité ou de l ’utilité des investissements prévus, la
sélection des projets dans la cadre d ’un budget d ’investissement,
l’autorisation de la dépense en fonction du budget préalablement défini,
l’autorisation de mise en chantier lorsqu’il s ’agit d ’une livraison à soi-
même.
58. Maintenance et protection des immobilisations
Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante
Immobilisations
Maintenance et protection des immobilisations
Objectif:
Préserver le patrimoine de la société contre les risques de vols, incendies...
Mise en œuvre :
58
des inventaires physiques périodiques,
l ’ existence d ’un service chargé de la maintenance des immobilisations,
une assurance suffisante des immobilisations contre les principaux sinistres.
59. Suivi des immobilisations
Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante
Immobilisations
59
Suivi des immobilisations
Objectifs
Assurerune meilleure gestion des immobilisations
Offrirà la comptabilité les informations techniques
qui ne relèvent pas de ces compétences
60. Suivi des immobilisations
Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante
Immobilisations
60
Suivi des immobilisations
Mise enœuvre
Le suivi peut être fait par des fiches manuelles ou informatiques qui donnent
pour chaque bien:
la description (nature, numéro de série),
la date d'installation
la date de mise en service (point de départ de l’amortissement)
la localisation
le compte comptable concerné
les renseignements comptables (factures, valeurs hors taxes, TVA
récupérée, mode et durée d'amortissement etc.),
les valeurs d'expertise,
le montant des amortissements pratiqués chaque année,
les conditions de cession en cas de sortie du patrimoine,
les dépenses de réparation et d'entretien engagées.
61. Le diagnostic du système de contrôle interne
Domaine 4 : Système d ’Information
Lexique
informatique
•Organisation informatique
•Architecture du système
d ’information
• La sécurité informatique
•L ’intégrité, l ’exhaustivité et la
fiabilité des traitements
1
STRATEGIE
2
ORGANISATION
3
GESTION COURANTE
4
SYSTEME D’INFORMATION
61
62. Le diagnostic du système de contrôle interne
Domaine 4 : Système d ’Information
Eléments d ’approche : Quelques risques dominants
Auniveau de la fonction système d'information
actuelle:
non performance du système d’information
perte d’efficacité :
dérapage sur des délais afférents aux projets
informatiques menés en interne
absence de pérennité des modes de
fonctionnement au sein de l’organisation
informatique
...
62
63. Le diagnostic du système de contrôle interne
Domaine 4 : Système d ’Information
Eléments d ’approche : Quelques risquesdominants
Evolutions de la fonctioninformatique
retard au niveau de la mise en œuvre
opérationnelle de nouveaux systèmes
manque de compétences pour
l’accompagnement des mutations du système
faible niveau de fiabilité des données
...
Sécurité du systèmed’information
disparition totale ou partielle du système
d’information
intrusion dans le système
63
65. 65
– SARBANES OXLEY Act « Loi Sarbanes-Oxley »
• préparée par la SEC et votée par le Congrès en
juillet 2002 suite aux scandales des affaires
Enron et Worldcom, institue une vaste série de
mesures.
• Objectifs: restaurer la confiance du public dans
les marchés des capitaux américains à la suite
de plusieurs scandales mettant en cause
l’information financière publiée aux États- Unis
66. 66
SARBANES OXLEY: quatre principes:
l'exactitude
l'accessibilité de l'information,
la responsabilité des gestionnaires
et l'indépendance des vérificateurs/auditeurs
67. SARBANES OXLEY:
La plupart des observateurs s'accordent pour
dire que cette loi est celle qui affecte le plus la
gouvernance des entreprises, l'information
financière et l'expertise- comptable depuis les
lois américaines sur les investissements du
début des années 30.
Elle s'applique à toutes les entreprises cotées
sur les bourses US (CA > 75 M $)
67
68. La loi vise à augmenter la responsabilité
corporative et à mieux protéger les investisseurs
pour rétablir leur confiance dans le Marché
La loi Sarbanes-Oxley compte plus de 50
sections, chacune ayant sa propre date d'entrée
en vigueur.
Sections les plus importantes de la loi: 302, 404
et 409 sont celles qui affectent principalement la
sécurité.
68
69. SARBANES OXLEY Act
Section 103 - Normes et règles relatives à l'audit, au contrôle de la
qualité, à l'indépendance - L'auditeur (et par conséquent
l'entreprise) doit conserver pendant sept ans tous les documents
relatifs aux audits, y compris les documents électroniques
pendant sept ans
Section 201 - Services hors champ d'exercice des auditeurs ;
activités interdites - Les sociétés qui procèdent à l'audit des
comptes ne peuvent plus lui offrir de services de conseil. Rotation
obligatoire des commissaires aux comptes.
69
70. SARBANES OXLEY Act
Section 301 - Comités d'audit des sociétés faisant appel à
l'épargne publique - Les entreprises doivent publier des
systèmes ou des procédures qui permettent aux
collaborateurs de communiquer de façon confidentielle avec
le comité d'audit
Section 302 - Responsabilité de l'entreprise vis-à-vis des rapports
financiers - Le directeur général et le directeur financier
doivent préparer une déclaration certifiant l'exhaustivité et la
justesse des rapports financiers. Toute irrégularité volontaire
ou consciente est pénalisée. Les dirigeants pris en faute
encourent jusqu’à 25 ans de prison
70
71. SARBANES OXLEY Act
La loi Sarbanes-Oxley oblige les entreprises cotées à mettre en
place un système permettant aux employés d'effectuer des
témoignages anonymes et confidentiels, concernant des
pratiques d'audit ou comptables qu'ils jugeraient suspectes.
« Whisleblowing system », canaux anonymes d’information
hors hiérarchie
71
72. SARBANES OXLEY Act
Section 404 - Evaluation par la direction des contrôles
internes - Les directeurs généraux, les directeurs
financiers et les auditeurs externes doivent attester
de l'efficacité des contrôles internes destinés aux
rapports financiers., les entreprises doivent avoir des
comités de vérification indépendants pour
superviser le processus de vérification..
• 72
73. SARBANES OXLEY Act
Section 409 - Signalement des problèmes en temps réel - Les
entreprises doivent signaler “ rapidement et sans délai ” les
changements matériels importants de leur état financier
Section 802 - Prescriptions pénales pour falsification de
documents - Les entreprises doivent conserver et protéger les
documents d'audit, de même que les documents (qui leurs
sont liés) relatifs (y compris sous format électronique).
• 73
74. Sur recommandation de la SEC
Creation d’un nouvel organisme de réglementation
et de surveillance, le Public Company Accounting
Oversight Board, doit superviser les firmes
comptables ; établir des standards, enquêter et
sanctionner les personnes physiques et morales qui
ne respectent pas les règles.
74
75. SEC
La Securities and Exchange Commission (SEC) est l'organisme
fédéral américain de réglementation et de contrôle des
marchés financiers. C'est en quelque sorte le « gendarme de
la Bourse » américain, aux fonctions généralement similaires
à celles de l'autorité des marchés financiers des autres États.
Ses pouvoirs et sa composition ont été profondément
remaniés par le Dodd–Frank Wall Street Reform and
Consumer Protection Act de 2010.
76. La plupart des entreprises ont réagi favorablement aux
mesures annoncées et se sont mises rapidement en
conformité avec les nouvelles règles
La SOX reste controversée ( polémique et débat)de par
sa portée extra- territoriale… notamment par l'Europe
et le Canada dont les sociétés cotées aux Etats unis
doivent se soumettre aux normes établies par la Loi
Sarbanes-Oxley
76
78. 78
Les enjeux actuels des organisations
Faire preuve de gouverner, développer
une culture d’entreprise basée sur
l’éthique
Regagner ou conserver la confiance du public
Démontrer une orientation claire et élaborer des
stratégies solides
Être capable de gérer les risques
Demeurer à jour à l’égard de la technologie
Protéger voire développer le savoir qui assure l’avenir
79. L’éthique
➢Tirée du mot grec «ethos» qui signifie « manière de vivre », l'éthique est une
branche de la philosophie qui s'intéresse aux comportements humains et, plus
précisément, à la conduite des individus en société. L'éthique fait l'examen de la
justification rationnelle de nos jugements moraux,
➢ L’éthique s’appuie donc sur la morale et fait référence à des valeurs telles que la
morale, certes, mais aussi la sagesse, le plaisir, le souverain bien, l’harmonie
intérieure, la connaissance, l’accord avec la nature et avec Dieu.
➢L'éthique établit les critères pour juger si une action est bonne ou mauvaise et
pour juger les motifs et les conséquences d'un acte ».
➢La morale est l’ensemble de nos devoirs- l’ensemble des obligations ou des
interdits que nous nous imposons à nous-mêmes, indépendamment de toute
récompense ou sanction attendue, et même de toute espérance. C’est l’ensemble
de ce qui vaut ou s’impose, pour une conscience donnée, inconditionnellement.
80. La mondialisation éloigne la DG du
terrain de jeu opérationnel
Comment assurer l’efficacité du contrôle et sur quel type de
risque ?
DG
DG
80
82. Les acteurs qui interviennent dans la mise en place la
Gouverne d’entreprise:
➢Éthique
➢Contrôle de gestion
➢Conseil d’administration
➢Comité d’audit
➢Direction
➢Mission Vision
➢Communication
➢ Audit interne
83. Mettre en place la Gouverne d’entreprise
Éthique Contrôle
de gestion
Mission Vision
Direction
Comité d’audit
Conseil
d’administration
Communication Audit interne
83
84. 84
Une définition
La gouverne s’entend de l’exercice de l’autorité, de l’orientation et du
contrôle. Elle s’apparente au droit et à l’obligation d’établir les fins et les
principes régissant le fonctionnement d’une organisation et d’en
structurer la gestion en conséquence.
La gouverne traite des mesures qu’une organisation doit prendre; elle
insiste donc beaucoup sur la planification, sur l’établissement des buts
et des objectifs et sur l’élaboration des politiques pour guider
l’organisation et suivre la mise en œuvre des plans.
La gouverne se préoccupe des mesures qu’une organisation doit
prendre, la gestion traite de la façon dont elle les applique
85. 85
La solution
C’est donc la gestion globale de l’entreprise
La gestion intégrée de l’entreprise
L’optimisation des ressources
L’imputabilité des administrateurs, gestionnaires et employés de
l’entreprise
86. 86
Des administrateurs de qualité
Honnêtes,intègres
Compétents
Enthousiastes
Manifestant un esprit d’équipe
Espritouvert
Goût de trouver des solutions
Rationnels dans la prise de
décision
87. Des administrateurs de qualité
Sens desaffaires
De bonnenature
Capables defocus
Capables d’évaluer les
gens
Humbles
Disponibles
Courageux
Curieux
Capablesd’écoute 87
88. 88
Des gestionnaires de qualité
Un peu de tout ce quiprécède
Sens del’éthique
Des connaissances pertinentes
Capables decommuniquer
Dédiés à l’entreprise sans complaisance
Transparents, responsables
Visionnaires capables de pro action
S’améliorent continuellement
89. Un ou Une PDG qui:
Détermine et contrôle, de concert avec le C.A l’orientation stratégique
de l’entreprise
Établi et met à exécution les stratégies et politiques
Établi la structure, les plans et les budgets nécessaires à la rencontre
des objectifs ( en collégialité )
Dirige les activités et les processus
Supervise le recrutement la rémunération, la formation, la relève des
ressources humaines
S’assure de l’optimisation des ressources
Veille au respect des politiques, à l’éthique, et à la conformité légale des
activités
Est
l’entrepris
à l’affût des tendance qui peuvent influencer les activités de
90. 90
Un conseil d’administration qui:
Assume la supervision del’organisme
Comprend les enjeux, les tendances, les grandes orientations, les
stratégies, les risques, les systèmes, les mesures de contrôle interne,
l’impact des lois ainsi les pratiques de gouverne de vérification et de
comptabilité.
Se prépare en vue de chaque assemblée
Compte sur la participation systématique de ses membres.
Possède un coded’éthique
Délibère et prend des décisions claires et inspirées
Communique
91. 91
Un comité d’audit qui:
Jouit d’une indépendance factuelle à l’égard du Conseil d’administration
et de la direction
Expérimenté
Habile en systèmes et en finance
Supervise le processus de vérification et l’intégrité des rapports
financiers
Fait le lien entre l’auditeur interne et l’auditeur externe
S’assure de l’indépendance des auditeurs, la protège continuellement
Supporte la crédibilité et l’objectivité des informations financières et de
la qualité des systèmes qui les supportent
92. Le contrôle interne contribue
directement au gouvernement
d’entreprise
Gouvernement
d'Entreprise
Créer/rétablir
le « chaînon manquant"
Activités de
contrôle
92
93. 93
Contrôle Interne et Gouvernance
Le conseil d’administration organise la tutelle de l’Organisation par
l’intermédiaire de plusieurs comités spécialisés dont le comité d’audit,
chargés d’exercer des contrôles.
En dehors du contrôle précis des comptes, le comité d’audit cherche souvent
à évaluer le niveau de contrôle interne de l’Organisation, au travers
notamment:
de l’analyse des risques;
du programme d’audit;
du bilan des activités d’audit.
94.
Les
dirigeants d’entreprise cotées sont tenus d’établir et entretenir des
Contrôle Interne et Gouvernance
contrôles internes adéquats à la maîtrise de leurs activités et pour
une meilleure transparence.
Le management est tenu d’évaluer la performance des contrôles internes.
Lors du rapport annuel, la Direction et le CAC doivent attester que le système
de ce CI et de gestion d’information financière de l’entreprise est efficace.
La publication du rapport annuel sur l’appréciation du CI par les dirigeants
donne une vision plus claire du présent et de l’avenir de la société.
94
96. Réduire la variabilité
non maîtrisée des
Pourquoi mettre en place un management
des risques de l’entreprise ?
Répondre avec
succès aux
changements de
l’environnement
résultats
Construire la
confiance des
investisseurs
et des parties
prenante
s
Aligner et
intégrer les vues
différentes sur
les risques et
leur
96
gestio
n
Renforcer la
corporate
governance
Aligner la
stratégie avec
la culture de
l’entreprise
97. 97
Définition de la gestion des risques
Selon le COSO II, le management des risques traite des risques et des
opportunités ayant une incidence sur la création ou la préservation
de la valeur. Il se définit comme suit :
Le management des risques est un processus mis en œuvre par le
conseil d'administration, la direction générale, le management et
l'ensemble des collaborateurs de l'organisation.
Il est pris en compte dans l'élaboration de la stratégie ainsi que dans
toutes les activités de l'organisation. Il est conçu pour identifier les
événements potentiels susceptibles d'affecter l'organisation et pour
gérer les risques dans les limites de son appétence pour le risque*. Il
vise à fournir une assurance raisonnable quant à l'atteinte des objectifs
de l'organisation.
* Appétence au risque : niveau de risque souhaité pour atteindre les objectifs de l’entreprise
98. Définition de la gestion des risques
Processus : continu et transversal à l’organisation
Élaboration de la stratégie : anticiper plutôt que réagir
Toutes les activités de l’entreprise : implique des changements dans
l’organisation et le comportement des gens
Appétence pour le risque : définir ce qui acceptable et ce qui ne l’est pas,
préalable à l’élaboration de la stratégie
Atteinte des objectifs de l’organisation : comprendre les objectifs permet de
comprendre les risques que l’entreprise choisit de prendre et ceux qu’elle décide
d’éviter
98
99. Définition de la gestion des risques
l
neÉvaluation des Risques
o
n e m
i
t
é
a
t
i n
c o
r
2
é
r n
a n
f 1 i
Activités de Contrôle t
é
O
p F
i
C
o é i
v
t
t i c
v A
Pilotage B c
i
t
é A
Inform ation et A n
t
i
Com m unication é U
t
i
n
Activités de Contrôle U
Évaluation des Risques
Environnem ent de
Contrôle
Pilotage
Inform ation et
Com munication
Activités de Contrôle
Évaluation des Risques
Environnem ent de
Contrôle
Unité
A
Unité
B
Activité
1
Activité
2
*Le référentiel COSO 1 a été complété en 2004 parle
COSO 2 « Entreprise Risk Management ERM »
99
100. 10
0
Le contrôle interne fait partie intégrante du management des risques.
Le management des risques élargit la notion de contrôle interne tout en
s’appuyant sur celui-ci pour former un concept plus solide, axé
davantage sur le risque.
Définition de la gestion des
risques
Les
référentiels de CI et de management des risques (MR)
prévoit
pareillement 3 catégories d’objectifs avec un 4ème objectif pour le RMR.
Au sein du référentiel de CI, la catégorie concernant l’information
financière est définie comme la fiabilité des états financiers publiés
Dans le cadre du référentiel de MR, la catégorie concernant le reporting
est plus large puisqu’elle englobe tous les rapports produits par une
Organisation en interne comme en externe.
101. 10
1
Définition de la gestion des
risques
Introduction dans le référentiel de MR des concepts d’appétence
pour le risque et de tolérance au risque
Appétence pour le risque: c’est le niveau de risque qu’une
Organisation est prête à accepter dans le cadre de sa mission et de
sa vision.
Il sert de point de repère dans le cadre de la détermination
de la stratégie et des objectifs qui y sont associés
La tolérance au risque: c’est le niveau de variation acceptable
dans la réalisation d’un objectif
102. 10
2
Définition de la gestion des risques
Au sein des deux référentiels, l’identification du risque est considérée au
regard de l’impact potentiel d’un risque sur l’atteinte d’un objectif.
Cette identification s’appuie sur un ensemble de techniques qui
prennent en compte les données historiques, les tendances à venir
ainsi que les facteurs qui provoquent les événements.
Les deux référentiels exigent une évaluation des risques à la fois en
termes de probabilité d’occurrence et d’impact potentiel.
103. 10
3
Qu’est ce que le Risque ?
Un risque est la possibilité que produise un évènement
aléatoire susceptible de compromettre plus ou moins gravement
la réussite d’un projet.
Le risque de perte peut résulter de procédures internes
inadéquates ou défaillantes, de personnes et systèmes ou
d’événements extérieurs.
Le risque est multidimensionnel: le risque opérationnel, le
risque commercial, de réputation, fiscal, comptable, le risque
politique, le risque juridique, etc.
104. 10
4
Attention: un risque n’est pas un problème
Unrisque:
peut se concrétiser ou non
devient un problème lorsque la défaillance se produit effectivement
doit être abordé préventivement, en cherchant les mesures permettant de limiter la menace
qu’il représente.
Unproblème:
Est un écart constaté entre une situation réelle et une situation souhaitée (exemple: un
nouveau logiciel est mal utilisé)
Peut ou non avoir été identifié comme un risque avant de se poser (compétences des
utilisateurs)
Est traité après s’être déclaré, en élaborant un plan d’action pour éliminer l’écart gênant
(formation des utilisateurs)
106. L’approche systémique
L’entreprise comme tout système est caractérisée parle
fait qu’elle :
échange avec son milieu des flux
est constituée d’un ensemble d’éléments en interaction
orientés vers la raison d’être du système, son but.
met en œuvre ses ressources pour produire sur les flux
d’entrée les changements prévus
a pour objectif de générer un produit ou service qui est le
résultat de la transformation des flux d’entrée en ouput,
se pilote en intervenant sur des variables d’action, qui
permettent le guidage du dispositif vers la réalisation de ses
objectifs,
dispose d’un dispositif d’information renseignant sur l’état du
système
107. 10
7
L’approche systémique
La gestion des risques doit être à la fois globaleet
intégrée.
Globale car elle concerne toute l’organisation et
tous ses Stakeholders
Intégrée car elle doit correspondre à la réalité de
l’entreprise caractérisée par son organisation, ses
activités, ses processus, son économie nationale
ainsi que son environnement culturel
108. 2. Direction Générale
8. Investisseurs Institutionnels
INTERVENANTS DANS LA GESTION DES
RISQUES
1. Régulateurs
L’approche systémique
3. Risk Management
10
8
4. Auditeurs
5. Assureurs
6. Agences de Notation
7. Analystes
109. L’approche systémique
Risques opérationnels
•panne des machines
•augmentation des défauts dans les
produits
•destruction d ’une usine par les
intempéries
•stocks obsolètes
Risques liés à la production
augmentation du prix des
achats
•grèves
•démission des meilleurs
collaborateurs
•faillite d ’un fournisseur
Risque
global
Risques réglementaires
•modification de la législation
sur l ’environnement
•modification de l ’encadrement
des prix
•fin de la protection des importations
Risques fiscaux
•augmentation de l ’impôt sur le
revenu
•augmentation des taxes sur les
ventes
•augmentation de la
taxe professionnelle
Risques du marché de
consommation
•perte de clients
•obsolescence des produits
•augmentation de la concurrence
•diminution de la
demande
Risques financiers
•modification du coût du capital
•variation des taux de change
•inflation
•violation d ’une disposition
contractuelle
•cessation de paiement
Risques légaux
•responsabilité pour les produits
•restriction des
échanges
commerciaux
•poursuites contre les actionnaires
Source: Les échos « l’art de la gestion des
risques» 85
110. L’approche systémique
Le processus IVTS
Ces questionnements justifient le recours à
l’approche moderne, et ce en 4 étapes :
Première étape : l’identification des risques (I)
Deuxième étape : l’évaluation des risques suivie de
leur hiérarchisation (V)
Troisième étape : le traitement des risques (T)
Quatrième étape : le suivi des risques par le
reporting et le contrôle des actions (S)
111. L’Identification des risques
Identifier un risque ou un objet de risque
reviendra à :
1. la localisation de sa source, c’est-à-dire de
l’activité génératrice du risque,
2. la connaissance des causes,
3. l’évaluation des conséquences et
4. la connaissance des différents scénarios
112. L’Identification des risques
L’identification des risques peut se mener de 6
façons :
par les ressources affectées,
par les objets de risques,
par les centres,
par les processus,
par les conséquences,
par les causes.
113. L’Evaluation des risques
Pour chaque risque identifié, on associera unesituation
et une cause.
La situation correspond à l’état précurseur du
sinistre. Sinistre qui ne se produira que si un
événement extérieur entre en jeu.
Cet élément n’est autre que la cause.
La situation conditionnera la gravité du dommage.
La cause déterminera la probabilité de survenance.
114. La cartographie des risques
C’est un mode de représentation et de hiérarchisation des risques
d’une Organisation.
Les risques identifiés se voient attribuer deux caractéristiques
(probabilité et gravité) qui permettent de les situer sur une carte.
C’est un outil de pilotage des risques et un moyen de communication
sur les risques.
90
118. Le Traitement des risques
Après avoir été identifiés et évalués, les risques
inacceptables doivent être traités
Prévention: les actions entreprises réduisent la
survenance ( objets aggravants le risque)
on agit sur les causes
Protection: la gravité du dommage est réduite
suite au respect de certaines mesures (sprinklers,
détecteurs de fumée, programme de formation en
faveur des agents securité, Montures d’hygienne).
on agit sur les conséquences
Transfert partiel ou total du risque ( volcan,
phénomenes naturels)
119. Le Traitement des risques
Actions prévenant l’occurrence des
risques
Actions limitant la probabilité
d’occurrence ou l’impact
Éviter Limiter
9
5
Traitement du risque
résiduel
Les différentes alternatives
Actions visant à
transférer les pertes
ou la responsabilité
sur des tierces parties
Décision en
connaissance de cause
de supporter l’impact
d’un événement qui
surviendrait
Transférer Accepter
120. Le Traitement des risques
La cartographie des risques fait apparaître
plusieurs zones qui exigeront des traitements
différents :
réduction,
rétention,
rétention avec transfert partiel,
transfert
121. Le Traitement des risques
Politiques idoines (qui conviennent parfaitement à notre
situation):
un risque mineur ne doit pas être traité. Il faut recourir à
la rétention,
un risque majeur ne peut être conservé en l’état. Il faut
à tout prix le réduire, le transférer si possible ou
l’éliminer (avec l’activité qui le crée) en fin de compte,
un risque de gravité peut ne pas être traité. Il faut
recourir à la rétention,
un risque de fréquence doit être conservé tel quel. Il
faut prévoir les dépenses inhérentes à sa survenance,
un risque moyen doit être soit conservé, transféré ou
réduit.
122. Le Traitement des risques
Fréquent
SURVENANCE
Exemple de Traitement de risque
Risque Initial
VARIABILITE
Exemple de traitement de risque (suite et fin)
Occasionnel
Rare
Improbable
Négligeable Marginal Critique Catastrophique
GRAVITE
Risque résiduel
COUT
Risque Initial
Risque résiduel
123. Le Suivi des risques
Le caractère évolutif des risques sera pris en compte par une
remise en cause régulière des plans de couverture et d’action
Construction de tableaux de bord
Clarification de la mission et définition des objectifs
Identification des variables d’action (liste, calendrier, ressources)
Choix des indicateurs
Mise en place des normes et des clignotants
Grille de travail (objectifs x variables d’action)
Trois zones à respecter: objectif – résultat - écart
La mise en place d’un programme de gestion des risques
L’instauration de tableaux de bord et de systèmes d’alertes
La définition d’un plan de continuité des activités
Bref, le recours au Contrôle Interne et par voie de
conséquence à l’Audit Interne
124. Volant :
Outil de pilotage pour
aller vers les objectifs
définis. Donne la possibilité
au manager de recadrer les équipes
(métiers / techniques) pour
les remettre sur le droit chemin. Imprime la
trajectoire de l’entreprise vers ses objectifs.
Rétroviseur :
Analyses de
performances sur les
actions terminées.
S’assurer qu’aucun
acteur n’a été perdu
tout au long des
projets.
Pare-brise :
Vision sur les objectifs
fixés via des indicateurs
de tendances
Levier de vitesses :
Maîtrise des activités des
métiers. Contrôle la vie de
l’organisation.
Accélérateur :
Contrôle du rendement de
l’organisation et l’avancement
du projet.
Cadence et rythme la vie de
l’organisation.
Compteur de vitesse :
Indicateur de
performances.
&
Jauge d’essence :
Indicateur de
ressources.
Les Tableaux de bord de pilotage
Il permet la bonne conduite avec tous les moyens du bord
Frein :
Prévient le risque, élément
Anticipateur s’il est bien Utilisé,
élément perturbateur dans le cas
inverse
Embrayage :
Elément de synchronisation
125. Intérêt
Pour le service :
• Construction d’un outil de pilotage.
• Vision concrète de l’évolution des résultats, suivi de ces résultats.
• Outil permettant plus de réactivité et de vigilance.
• Détection des points à améliorer.
• Valorisation des bons résultats, outil de communication .
• Comparaisons entre services et organismes.
Pour l’usager :
• Connaissance des évolutions des résultats des services.
• Possibilité de participer à la définition des indicateurs et donc au
niveau de service à rendre.
126. Présentation du tableau de bord
1
2
6
Si on choisit de faire un suivi du tableau de bord au jour le jour,
préférer la présentation graphique par points ou par
histogramme.
Il ne faut oublier de porter l’objectif sur le dessin.
128. Exemple de tableau de bord
On peut faire des choses très synthétiques .
par exemple :
objectif atteint à 100 % : le chiffre est écrit en vert
objectif atteint à plus de 90 % : le chiffre est écrit en orange
objectif atteint à moins de 90 % : le chiffre est écrit en rouge
129. Le Suivi des risques
Fiche d’analyse et de suivi du risque
Risque:
Enjeux stratégiques: Processus concernés:
Direction:
Responsable:
Criticité:
10
0
Causes:
Facteurs aggravants: Facteurs réducteurs:
Plan d’action:
Indicateurs d’évolution: Date de révision:
Bilan :
Signes annonciateurs:
130. Comment mener la cartographie des risques ?
Partons de 2 approches possibles
Approche Top-Down
❖ Interroger les managers
➢ Risques pour l’atteinte des objectifs stratégiques
➢ 5 risques de leur sphère de responsabilité
➢ 5 risques hors de leur sphère de responsabilité
❖ Instruire une liste de 20 risques environ avec le commanditaire
❖ Tenir un atelier avec un panel pour
➢ Echanger sur les risques et arrêter la liste
➢ Prioriser les risques, par vote A ce stade,pas
besoin de
processus 10
1
131. 131
Comment mener la cartographie des risques ?
Partons de 2 approches possibles
Approche Bottom-Up
❖ Préparer/Découper l’objet cartographié
• Identifier les activités
• Proposer des risques
❖ Faire évaluer les risques par un panel
❖ Consolider les résultats et publier la cartographie
Appui sur les
processus dès la
phase préparatoire
133. 133
La Fraude
Pertes dues à des actes visant à frauder, détourner des
biens ou à détourner des règlements, la législation ou la
politique de l’entreprise impliquant au moins une partie
interne de l’entreprise, Bâle 2.
L’utilisation de son propre emploi afin de s’enrichir
personnellement tout en causant ou en détournant
délibérément les ressources ou les actifs de l’entreprise,
Association of Certified Fraud Examiners (ACFE)
134. Types de fraude
La Fraude
Fraude
interne
Fraude
externe
Fraude
mixte
134
135. 135
La Fraude
Le COSO appliqué à la fraude
Composantes duCOSO Application à lafraude
Pilotage ▪Évaluer le programme antifraude de manière
indépendante
▪Suivre les signaux d’alerte
Information et communication ▪Formation du personnel
▪Vigilance
Activités de contrôle ▪Définir les contrôles répondant aux schémas de fraude
identifiés, les modifier et les tester
▪Suivre les indicateurs
▪Audits et enquêtes
Évaluation des risques Analyser les facteurs de risque
Identifier et évaluer les schémas de fraude
Environnement de contrôle ▪Créer une culture éthique, exemplarité
▪Politique antifraude, code de conduite
▪Dispositifs d’alerte
136. 136
La Fraude
Quel est donc le lien entre contrôle interne et dispositif anti-fraude?
Pressions personnelles et/ou incitations financières, opportunité,
Sur le terrain, on constate souvent que des défaillances et des dysfonctionnements des
dispositifs de contrôle permettent à certaines fraudes de se produire, voire de s’inscrire sur la
durée.
En conséquence, le contrôle interne permet de réduire le risque de fraude; toutefois, ce n’est
pas nécessairement suffisant, car la réalisation d’une fraude consiste bien souvent à
contourner le dispositif de contrôleinterne,
C’est pourquoi, il est nécessaire de mettre en place des dispositifs anti-fraude spécifiques sur
la base d’une analyse de vulnérabilité de l’entreprise. Cette analyse sera conduite de manière
progressive à partir d’une compréhension de l’environnement de contrôle général et d’un
diagnostic des situations àrisques.
137. La Fraude
➢ EVALUATION DE LA FRAUDE EN TANT QUE RISQUE
Opportunité
Triangle de fraude
137
Rationalisation
Pression
138. 138
La Fraude
Quelques exemples de facteurs de risque
Fraudes touchant les états financiers: exemples de facteurs derisque
Opportunité Incitation / Pression Rationalisation / Attitude
▪Management dominé par une
seule personne sans contrôle
▪Absence de supervision du CA
ou du Comité Audit
▪Transactions significatives avec
des sociétés liées non auditées
▪Transactions complexes
▪Déficience du contrôle interne
▪Organisation complexe ou
instable
▪Menaces sur l’entreprise
▪Pressions sur le management
(objectifs)
▪Intérêts personnels dans
l’entreprise
▪Difficultés importantes de
l’entreprise, crainte du dépôt de
bilan
▪Pression excessive pour
atteindre les objectifs
▪Relations tendues avec les
auditeurs (par exemple,
restrictions)
▪Participation excessive dans les
questions sur les choix
comptables (personnel hors
financier)
▪Communication sur les valeurs
éthiques inappropriée ou
inexistante
139. La Fraude
Quelques exemples de facteurs de risque
110
détournements: exemples de facteurs de risque
Opportunité Incitation / Pression Rationalisation / Attitude
▪Manipulation d’argent
▪Stocks faciles à détourner (taille,
accès)
▪Actifs facilement convertibles
▪Immobilisations faciles à
détourner (taille, pas
d’identification)
▪Faiblesse de la séparationdes
fonctions non compensée par
d’autres contrôles
▪Faiblesse de la supervision par le
management (sites éloignés, etc.)
▪Pas de rotation des employés
clés
▪Mauvais contrôle des accès
informatiques
▪Problèmes personnels ▪Changement de comportement
▪Évènement affectant la relation
avec l’entreprise (licenciements
annoncés, réorganisation,
nouvelle politique salariale, etc.)
▪Dénigrement des contrôles et
des procédures
▪Insatisfaction
140. Une gestion des risques associée à la notion de
malveillance et de fraude interne: retour d’expérience
5
• Systématiser les investigations en cas de fraude ou soupçon
de fraude
Quelles sont les bonnes pratiques en matière de dispositifsanti-fraudes?
1
• Impliquer la direction générale
2
• Évaluer les risques
3
• Vérifier l’efficacité des contrôles
4
• Effectuer des tests de détection sur les risques résiduels
140
141. Une gestion des risques associée à la notion de
malveillance et de fraude interne: retour d’expérience
Identifier les
domaines les plus
exposés
Identifier les
facteurs
aggravants
Cartographie du risque
de fraude
Achat, paie, Pression sur les
Communication
mise en place
Développement
des mesures de
prévention
Élaboration de
scénarios
Recommandations
d’actions
comptabilité, caisse,
magasin …
résultats, contrôles
déficients, SI obsolètes
La démarche de gestion du risque defraude
141
142. La Fraude
Comment éviter la fraude
Recruter les bonnes personnes. Analysez tous les
éléments du curriculum vitæ d’un candidat, appelez
les employeurs antérieurs
Ne négligez pas vos employés qui semblent être aux
prises avec des problèmes personnels
Impliquer le personnel par des formations de
sensibilisation destinées à mieux comprendre les
contrôles et les procédures, à être réactif aux
signaux d’alerte, être sensibilisé à l’éthique et aux
dispositifs antifraude existants.
142
143. La Fraude
Comment éviter la fraude
Même si la plupart des cas de vol et de fraude sont décelés
grâce aux dénonciations d’autres employés, il est toujours
utile d’observer les employés :
qui arrivent au travail tôt et partent tard, ou qui travaillent
souvent les fins de semaine, sans que leur tâche ne justifie
de si longues heures;
qui ne prennent pas de vacances;
qui font beaucoup d’appels pendant la journée sans que
leurs fonctions ne l’exigent;
qui font souvent des cachotteries et délèguent rarement
aux autres;
143
144. 144
La Fraude
Comment éviter la fraude
Est à surveiller tout particulièrement l’employé qui :
est intelligent — il remet le système en question, et la
routine au travail l’ennuie;
prend des risques — il aime contourner les règles et tenter
sa chance;
est stressé — il a des problèmes de famille ou vit une
crise personnelle;
se plaint constamment — il sera plus porté à vouloir «
se venger » de la société;
vit au-dessus de ses moyens — il dépense beaucoup
145. 145
La Fraude
Comment éviter la fraude
Est à surveiller tout particulièrement l’employé qui :
semble le plus dévoué ( disposé à faire n’importe quoi) — celui
qui travaille durant de longues heures et prend rarement une
pause —est en fait celui auquel on devrait faire attention
travaille de longue date dans l’entreprise
une direction autocratique, un manque de considération et de
piètres communications constituent un champs favorable à la
fraude
146. 146
Comment éviter la fraude
La Fraude
les employés qui apprécient leur travail et leur
employeur commettent moins de méfaits.
Lorsqu’on s’efforce de raffermir le moral des employés,
non seulement on maintient leur productivité, mais on
réduit aussi le risque qu’ils tentent de s’approprier ce
qui ne leur appartient pas.
d’élaborer et de maintenir un programme
de sensibilisation à la fraude,
De mettre en place une procédure sur le traitement
des réclamations (structure qualité)
147. 118
Constats de terrain
Quand on emploie des mots comme risques ou contrôle interne, tout le monde est d’accord.
Mais il est plus difficile de passer à la pratique en réunion.
Rares sont aujourd’hui les Conseils d’Administration qui consacrent une partie conséquente de
leur réunion à la question du risque.
La fraude est un sujet qui fâche et qui a tendance à vous faire marginaliser lorsque vous
l’aborder.
Les administrateurs ont besoin de référents académiques.
Certaines entreprises accordent sans avoir forcément conscience à certains de leurs
informaticiens des privilèges exorbitants: le pouvoir d’aller « sous le capot » modifier des
données, à l’insu de tous.
Certains auditeurs internes n’ont pas le courage d’affirmer leurs certitudes.
151. Séminairesurl’AuditInterne
Objectifsduséminaire :
Identifier et apprendre à appliquer les normes éthiques et
juridiques correspondant àla pratique del’audit interne ;
Maitriser l’ensemble des savoirs, savoir-faire et savoir- être que doit
détenirunauditeurinterne professionnel ;
Prendre conscience de toutes les dimensions techniques et
managérialesdela fonctiond‘auditeur interne ;
Assimiler les connaissances sur les risques et les contrôles des
principaux domainesd’uneorganisation.
152. 152
SOMMAIRE
PARTIE I : ENVIRONNEMENT
DE L’AUDITINTERNE
PARTIE II : OUTILS ET
APPROCHE
METHODOLOGIQUE
PARTIE III: LA CHARTE
D’AUDIT INTERNE
PARTIE IV: INDICATEURS DE
PERFORMANCE ET CRITERES
D’EFFICACITE DE L’AUDIT
INTERNE
154. 154
Définition de l’audit interne
L'audit interne est une activité
donne à une
objective qui
assurance sur le degré
opérations, lui apporte ses
de maîtrise
conseils
indépendante et
organisation une
de ses
pour les
Selon le code de déontologie de institut de l’audit interne ‘’The
IIA’’ (nouvelle définition) :
améliorer, et contribue à créer de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs en
évaluant,
méthodique,
par une approche systématique et
ses processus de management des
de gouvernement
des propositions pour
risques, de contrôle, et
d'entreprise, et en faisant
renforcer leur efficacité
155. 155
Code de déontologie de l’audit interne
Disposition d’un code de déontologie qui regroupe :
• Le champ d’application et caractère obligatoire
• les principes fondamentaux et les règles de conduite à
savoir:
Les pratiques professionnelles obligatoires
Intégrité:
C’est la base de la confiance et dela
crédibilité accordées au jugement des
auditeurs internes
Objectivité:
Les auditeurs internes évaluent de manière
équitable tous les éléments pertinents et ne
se laissent pas influencer dans leur
jugement par leurs propres intérêts ou par
autrui
Confidentialité:
Les auditeurs internes respectent la valeur et
la propriété des informations qu’ils reçoivent;
ils ne divulguent ces informations qu’avec les
autorisations requises, à moins qu’une
obligation légale ou professionnelle ne les
oblige à lefaire.
Compétence:
Les auditeurs internes utilisent et appliquent
les connaissances, les savoir-faire et
expériences requis pour la réalisation de
leurstravaux
156. 156
Les pratiques professionnelles obligatoires
Normes pour la pratique professionnelle de l’audit interne
le respect des Normes pour la pratique professionnelle de l'audit
interne est essentiel pour que les auditeurs internes puissent
s'acquitter de leurs responsabilités
Les Normes ont pour objet :
✓ de définir les principes de base que la pratique de l'audit interne
doit suivre;
✓ de fournir un cadre de référence pour la réalisation et la promotion
d'un large éventail d'activités d'audit interne apportant une valeur
ajoutée;
✓ d'établir les critères d'appréciation du fonctionnement de l'audit
interne;
✓ de favoriser l'amélioration des processus organisationnels et des
opérations.
157. AUDIT…
• Avoir un objectif précis
• Utiliser rigoureusement la méthodologie
• Donner envie de progresser
• Informer
• Travailler en groupe 18
7
158. 158
Normes internationales pour la pratique professionnelle de
l’audit interne
Les Normes se composent
:
Les pratiques professionnelles obligatoires
➢ des Normes de Qualification (série 1000): énoncent les caractéristiques que doivent
présenter les organisations et les personnes accomplissant des missions d'audit
interne.
➢ des Normes de Fonctionnement (série 2000): décrivent la nature des missions
d'audit interne et définissent des critères de qualité permettant de mesurer la
performance des services fournis.
Les Normes de Qualification et les Normes de Fonctionnement s’appliquent à tous
les services d’audit.
➢ des Normes de Mise en Oeuvre (série nnnn.Xn): précisent les Normes de
Qualification et les Normes de Fonctionnement en indiquant les exigences applicables
dans les activités d’assurance (A) ou de conseil (C).
159. 159
Les modalités pratiques d’application (MPA)
Elles mettent en évidence une approche pour aider les auditeurs
à se conformer aux normes. Elles sont au nombre de 42.
Les pratiques professionnelles fortement recommandées
Les prises de position
Elles constituent un ajout et commentent les rôles et responsabilités
de l’auditeur interne, l’impact de l’audit interne dans un contexte
spécifique et ses interactions avec d’autres acteurs.
Les guides pratiques
Ils sont nouveaux. On en compte actuellement 11 concernant l’audit
des technologies de l’information (TI), ainsi que 3 portant sur la
gestion des risques liés aux TI.
160. 160
Positionnement et champ d’action de la fonction
Le rattachement de la fonction d’audit interne est un facteur
déterminant pour le succès de la mission d’audit
Il est logique et souhaitable d’apporter à l’audit tout le poids
lui conférer un rattachement au niveau
le plus élevé : président ou Directeur
que peut
hiérarchique
Général .
Cela contribue à assurer son indépendance vis-à-vis des
autres directions en même temps que son indépendance
avec elles, cela confirmera son caractère pluridisciplinaire
et cela donnera du poids à ses recommandations
161. 161
Les différents types d’audit
•Audit de ‘’conformité’’ ou de ‘’régularité’’ quand l’audit a pour finalité de
contrôler l’application des lois, normes, procédures : quand le référentiel est
connu et reconnu.
Le mot clé est alors ‘’contrôler’’
• Audit de ‘‘pertinence’’
‘’d’efficacité’’ quand l’audit a pour finalité d’évaluer la pertinence de
l’organisation et l’efficacité du fonctionnement
‘’de management’’ quand l’audit a pour finalité d’évaluer la pertinence des
objectifs et la cohérence des opérations et programme avec les politiques et la
stratégie de l’entreprise
Quand le référentiel est à définir ou à revoir
Le mot clé est alors ‘’évaluer’’
162. Les différents types d’audit
AUDIT DE CONFORMITE / REGULARITE
Normes externes Législation Règles comptables Usages
Normes internes
(éventuellement implicites)
:
Procédures
Définitions de fonctions
Règles de signatures
Objectifs
Stratégie
Contrôler consiste a mesurer un écart par rapport à unenorme
Le contrôle du respect des normes constitue l'Audit de régularité ou de
conformité
162
163. Les différents types d’audit
AUDIT D’EFFICACITE
deux orientations possibles :
Les systèmes La gestion
:
Existe-t-il des normes ?
Correspondent-t-elles aux
besoins ?
Peut-on faire mieux avec la même
chose ?
Peut-on faire autant avec moins ?
163
164. Les métiers connexes : inspection, audit externe,
organisation, consultanat, contrôle de gestion
AUDIT INTERNE AUDIT EXTERNE
Mandat
De la Direction Générale, pourles
responsables de l'entreprise
Du Conseil d'Administration
(officiellement de l'Assemblée
Générale), pour les tiers qui requièrent
des comptes certifiés..
Statut Personnel de l'entreprise (salaires +charge
+ locaux). Prestataire de services (honoraires).
Missions
Liées aux préoccupations de la Direction
Générale: déclenchement sur Décision.
Toutes les formes d'audit et tous les sujets.
Liées à la certification des comptes :
mise en œuvre annuelle. Audit de
régularité uniquement, dans le domaine
comptable.
Méthode Part des Objectifs (efficacité) ou des
procédures (régularité) pour expliquer les
résultats
Part des résultats (Bilan, Compte
d'Exploitation) pour remonter aux
comptes puis auxprocédures.
Conclusions
Constations approfondies dès qu'existe un
potentiel de dysfonctionnements, pour
identifier les causes et définir les actions
qu'il y a lieu de mener.
Constatations succinctes: examen des
circuits clés et des montants supérieurs
à un seuil de signification pour dresser
des constats de carence et informer (#
résoudre).
Obligation de résultats Obligation de moyens.
131
165. AUDIT INTERNE ORGANISATEURS
INTERVENTIONS
Courtes : quelques semaines.
Peuvent déboucher sur une
réorganisation pour résoudre un
problème et atteindre un objectif
clairement défini
Longues: plusieurs mois
Doivent commencer par un audit pour
détecter les faiblesses et l'organisation
existante et préciser les objectifs
Nature
Fonctionnelle : constate et
recommande mais ne fait pas
Opérationnelle : reconçoit les méthodes
puis les met en place
Objectifs
Détecter et évaluer les risques et
dysfonctionnements, en rechercher
les causes, faire cesser sescauses
Concevoir, réaliser et mettre en placeles
moyens adaptés, pour le futur immédiat
ou plus lointain
Méthode
Compare le réel à un référentiel très
centré sur le contrôleinterne
Axés charges: repèrent les sous-
activités
Analyse les méthodes et outils de travail:
analyse des temps plus que des
‘’dirhams’’
Axés flux: repèrent les goulots
Responsabilité
Laisse la Décision et
l'action aux audités
Reste indépendant
Décide et agit avec les
intéressés Est engagé
Rattachement
A la Direction Générale, souvent à
la Direction Financière, parfois au
Comité d'Audit
A une Direction
Opérationnelle (souvent
l'informatique), parfois
répartie à tous niveaux
165
166. AUDIT INTERNE CONSULTANTS EXPERTS
Objectifs de
l’intervention
s
Mettre
problèmes
solutions
en
puis
évidence
ébaucher
les
des On sait qu’on va réorganiser, on fait venir
quelqu’un pour le faire
Conditions requises
Des généralistes (tous
problèmes) étayant leurs
affirmations (non spécialistes)
Connaissance spécialisée dessolutions
au problème déjà bien identifié
Base du savoir-faire Méthodologie d’investigation Expérience accumulée
utilisation
du savoir-
faire
Cohérence interne des
processus et systèmes de
gestion. Pertinence parrapport
aux buts et objectifs
Des solutions qui ont fait
leurs preuves ailleurs.
Comparaison situation du
client/expérience
accumulée
Client réel
Le Groupe. Et l’audit
interne exige que les
problèmes démontrés
soient résolus
Le commanditaire. Il reste
propriétaire du rapport et en fait
ce qu’il veut
166
167. 167
AUDIT INTERNE INSPECTION
Objectifs
Contrôle le respect des règles et
leur pertinence, caractère
suffisant,..
Contrôle le respect des règles sans les
interpréter ni les remettre en cause
domaine
Remonte aux causes pour
élaborer des recommandations
dont le but est d’éviter la
réapparition du problème
S’en tient aux faits et identifie les actions
nécessaires pour les réparer et les
remettre en ordre
Responsabilité
Critique les systèmes et non les
hommes : évalue le
fonctionnement des systèmes
Détermine les responsabilités et fait
éventuellement sanctionner les
responsables. évalue le comportement
des hommes, parfois leurs compétences
et qualités
Nature
d’interventio
n
privilégie le conseil Privilégie le contrôle
Environnemen
t global
Répond aux préoccupations du
management soucieux de
renforcer sa maîtrise, sur mandat
de la Direction Générale
Investigations approfondies et contrôle
très exhaustifs, éventuellement sous sa
propres initiative
168. AUDIT INTERNE CONTRÔLE DE GESTION
L’audit interne raisonne sur lesprocessus Le contrôle de gestion raisonne sur lesrésultats
L’audit interne va à la recherche de faits etinforme Le contrôle de gestion utilise les informations
produites par les opérationnels
Partant des faits et des pièces, l’approche auditest
détaillée et analytique. Dans un rapport d’audit, le
diagnostic des faiblesses est précis etdétaillé
Le contrôle de gestion va du global vers le plus
fin en se limitant aux principaux points
Pour la plupart de ses missions, l’approche de l'audit
est systématique, structurée et progressive. Ses
investigations font l'objet d'un programme de travail,
ses travaux sont documentés et régulièrement
supervisés et validés par les audités.
l'intérêt du contrôle de gestion est de servir de
pilote à l'audit(identification des zones à risques
ou à performances insuffisantes) puis d'utiliser
les recommandations de l'audit comme levier
(prise en compte dans le budget et le suivi des
performances des potentiels identifiés par
l'audit).
Sa fonction est. d'identifier des dysfonctionnements,
d'adresser des recommandations, d'examiner les
programmes d'actions et de suivre leur mise enplace
l'activité du contrôle de gestion est rythmée
d'une part par le reporting mensuel et son
analyse; elle est bousculée d'autre part par les
priorités de la direction générale; celle-ci compte
sur lui pour repérer l'important et réagir en
temps réel
Va des problèmes rencontrés en pratique à leurs
causes et conséquences.
Va des indicateurs généraux et leurs résultats
contrôle l'application des directives, la fiabilitédes
informations et l'adéquation des méthodes.
Planifie et suit les opérations et leurs résultats.
Conçoit et met en place le système d'information
pour ce faire 135
169. 169
AUDIT INTERNE RISK MANAGEMENT
Risques visés
Risque de dysfonctionnements
transgressions des
règles,
désordres, inefficacités.
Risques purs, aléatoires,
accidentels : sans espérance de
gain.
Traitement
de ces risques
Identification,
démonstratio
n, recommandation.
Identification, résolution.
Référentiel
Contrôle Interne, Pratiques
d'Organisation communément
Adoptées.
Coûts/bénéfices: coût des
mesures/fréquence (probabilité)
et gravité (importance) des
sinistres.
«Degré»
2ème: s'assure que les
responsables maîtrisent leurs
risques spéculatifs (et le Risk
Manager les
risques purs).
1 er : détecte et traite (prévention
et protection, dont assurance et
plan de survie) les risques purs.
172. L’ORDRE DE MISSION (OM)
L’ordre de mission est le mandat donné par la Direction
Générale à l’audit interne pour informer les responsables
concernés de l’intervention imminente des auditeurs
OUTILS ET DOCUMENTS DE TRAVAIL
Casablanca, le
DG - I
Objet : Mission audit interne.
Dans le cadre de son programme général du présent exercice, l’Audit
Interne est chargée de réaliser, à partir du ………, une mission d’audit portant
sur …
Les modalités pratiques de cette mission (planification, documentation,
lieu de travail,…) seront arrêtées d’un commun accord entre l’Audit Interne et les
responsables désignés par vos soins.
Vous voudrez bien prêter votre concours au bon déroulement de cette
mission.
LE DIRECTEUR GENERAL,
172
174. 174
LE COMPORTEMENT DE L’AUDITEUR
Métier et profil d’auditeurs
La dimension humaine
Reconnaître les attentes soulevées par la mission
Favoriser la pertinence des constats
Assurer l'objectivité des conclusions
Obtenir l'adhésion des responsables
Faire aboutir les actions correctives
175. 175
LES TECHNIQUES DE L’AUDITEUR
Approches globales
▪
▪
▪
Analyse Economique et Financière
Volume et Types de Transactions
Diagrammes de Circulation (flow charts)
Approches par questions
Métier et profil d’auditeurs
▪ Interviews
▪ Questionnaires QCM-QO (à Choix Multiples - Ouverts)
▪ Questionnaires QCI (de Contrôle Interne)
Approches par vérifications
▪ Observations Physiques
▪ Rapprochements et Reconstitutions
▪Interrogations de Fichiers Informatiques
▪ Sondages Statistiques
NB/ FC: meilleur moyen d'illustrer la compréhension des systèmes d'information. Son
usage permet en outre d'améliorer l'efficacité et l'homogénéité du groupe d'audit et de
permettre une meilleur communication entre les différents auditeurs.
176. 176
Métier et profil d’auditeurs
ANALYSE ET SYNTHESE
L'auditeur interne doit avoir cette double qualité: son travail est à la
fois analyse et synthèse (désosser), qui se traduira par la capacité à :
✓ percevoir ce que l'on attend de lui,
✓ clarifier et à hiérarchiser les idées et les problèmes
rencontrés, les risques potentiels liés à l'activité
auditée,
✓ restituer ce qui doit l'être, d'une manière objective, et
en tirer une synthèse claire et opérante.
177. 177
Métier et profil d’auditeurs
ANALYSE ECONOMIQUE ET FINANCIERE
OBJECTIFS : quantifier l’activité pour
▪ situer le domaine
▪ comprendre son évolution
▪ situer son contexte
▪ mesurer les enjeux
▪ avoir des ordres de grandeur
▪ connaître les chiffres significatifs
▪ déterminer les seuils de matérialité
▪ Détecter :
✓ certains risques globaux,
✓ des ratios financiers dangereux,
✓ des évolutions inquiétantes
IDEES DIRECTRICES :
▪ repérer les activités concernées: produits, marchés, fonctions, ... .
▪ les classer par ordre d'importance: contribution, quote-part, ... .
▪ dresser l'évolution historique
▪ apprécier la cohérence de l'ensemble.
▪ se faire une première opinion
178. Métier et profil d’auditeurs
VOLUME ET TYPES DE TRANSACTIONS
OBJECTIFS: quantifier l'organisation pour :
▪ situer les enjeux
▪ relativiser les masses
▪ comprendre l'organisation
▪ éclairer le fonctionnement
▪ détecter des anomalies
IDEES DIRECTRICES :
▪ comparer (dans l'espace et le temps)
▪ corréler (lien de dépendance logique)
▪ Repérer :
✓ les variations anormales
✓ les différences significatives
✓ les évolutions illogiques
▪ expliquer
178
179. 179
REGLES A RESPECTER POUR LA CONDUITE DES INTERVIEWS
Métier et profil d’auditeurs
AVANT
Définition du contenu/contexte/sujet
Choix du/des interviewé(s), rôle des participants
Désignation de l'auditeur organisateur
Organisation: date, lieu, durée
Préparation: informations, guides
P
E
N
D
A
N
T
AU
DEBUT
Se présenter
Rappeler objectifs, thèmes, documents
demandés Organiser le temps
AU
LONG
TACHES
Veiller à l’atteinte des objectifs
Noter les réponses
Suivre une seule idée à la fois et noter des amorces (l’apate)pour
le retour Laisser l’interviewé s’exprime (sauf excès)
Ecouter, orienter, ne pas porter dejugements
Enchaînement concret des opérations
Recouper (utilisation de questionscroisées)
180. SAVOIR ECOUTER
Métier et profil d’auditeurs
L'auditeur doit avoir le souci de bien appréhender la réalité
qui est décrite parfois maladroitement ou incomplètement
Savoir écouter c'est avoir la patience, l'obstination, parfois le
courage de ramener son interlocuteur sur le sujet jusqu'à ce
que tout soit clair. C'est avoir l'humilité et la simplicité de
reconnaître son incompétence dans une technique
particulière et ne pas hésiter à l'avouer à un interlocuteur qui,
trop souvent, croit s'adresser à un spécialiste de sa propre
discipline.
Corollaire de l'écoute, la discrétion de l'auditeur doit être à la
hauteur de la confiance que lui témoignent la direction
générale et ses interlocuteurs. 180
181. 181
Métier et profil
d’auditeurs
«La tâche de dirigeant est difficile. L'aide dont il
a le plus besoin n'est pas celle d'un vérificateur
qui pointe des chiffres, ou même signale la
violation des règles et des procédures, ou
montre qu'elles sont périmées, inapplicables ou
inefficaces; c'est celle de quelqu'un qui peut
comprendre ses problèmes et lui donne des
avis sur la façon de les résoudre en se fondant
sur les principes éprouvés du management».
L.Sawyer
182. 182
Le plan d’approche clôt la phase de reconnaissance
Il synthétise les connaissances et réflexions des auditeurs qui l’ont effectuée pour
l’ensemble des auditeurs qui seront affectés à la mission, et permet de lancerl’analyse
des risques.
La demande
• Origine et préoccupations/objectifs du demandeur
• Préoccupations des principaux responsables
Le domaine
• Description classique : données chiffrés et évolution
• Description audit : « objets auditables (domaines, objectifs, risques, POCA
(pratique orgnisat communément admise)
• Exclusions éventuelles
Le reste de la phase d’étude
• Démarche de travail : qui rencontrer (et que lui demander), que lire
(documents à obtenir), quand le faire
• Dates décidées pour l’établissement de TFfA, Rd’O et du PdeV
• Équipe affectée à la mission
183. PRESENTATION DU PLAN D’APPROCHE
1 – THEMES OU DOMAINES D’ANALYSE
Découpage de l’activité s’appuyant sur ses objectifs généraux mis
en cause par la demande de la mission :
Objectifs affectés par entité de gestion Objectifs analysé par nature
183
ou
2 – POINTS DE CONTROLE
Pour chaque EVENEMENT ou INCIDENT à gérer :
Lister toutes les conditions de bon fonctionnement à satisfaire
(Responsabilités, moyens, méthodes, procédures...) pour maîtriser
ces objectifs
3 – INDICATEURS DE FONCTIONNEMENT
Identification de tous les éléments de preuve à examiner pour pouvoir
émettre une opinion sur chacune des conditions de bon
fonctionnement attendues
184. L’ANALYSE DES RISQUES
C’est pour chaque point de
contrôle :
1 – Comparer les constats effectués :
Sur les éléments de preuve recueillis avec
Les preuves attendues au référentiel
2 – Noter s’il ya :
Correspondances = FORCES
ou Divergences = faiblesses
3 – Caractériser le risque de dysfonctionnement
Au niveau de ses 3 composantes :
- La probabilité pour qu’il se manifeste
- La nature du résultat mis en cause
- La gravité de son/ses impact(s)
3 – Conclure : confiance et conséquence risque
- Force certaine = Rien à faire
- Force potentielle = Avalider
- faiblesse potentielle = Adémontrer
- faiblesse certaine = Risque à qualifier
184
185. LE TABLEAU DES FORCES ET FAIBLESSES APPARENTES (TFfA)
Le TFfA conclut la phase d’analyse des risques réalisée sur la base
des objectifs définis dans le plan d’approche, il a pour objectif de
faire un état des lieux des forces et faiblesses réelles ou potentielles
de l’entité ou du domaine audité (*)
FORCES faiblesses
S’exprime /
(*) Cf. «la conduite d’une mission d’audit interne» d’olivier lemant
Objectif de contrôle interne
Une caractéristique normalement
attendue
Assurer le bon fonctionnement d’une
organisation
185
187. LE RAPPORT D’ORIENTATION (Rd’O)
Le Rapport d’orientation définit et formalise les axes
d’investigation de la mission et ses limites : il les exprime en
objectifs à atteindre par l’audit pour le demandeur et les
audités
TFfA
Choix des orientations
RAPPORT
D’ORIENTA
TION
Définit la mission en terme
d’objectifs à atteindre par l’audit
les principaux
187
audités et
Discuté avec
responsables
demandeurs
188. LE PROGRAMME DE VERIFICATION (PdeV)
Le programme de vérification liste les travaux à effectuer par
l’auditeur pour répondre aux objectifs de la note d’orientation
en s’appuyant sur des faits et non des opinions et ce, afin
d’acquérir l’ultime conviction qui doit seule guider les
recherches
OUTILS ET DOCUMENTS DE TRAVAIL
Mission : ………………………..……………………
Module: Etabli par :
Le :
Objectif :
Tâche à effectuer
(Quoi ?/Comment ?)
Entités
(Où ?)
Documents
à consulter
Référence
FRAP
et/ou PdeT
188
189. 189
LE BUDGET, ALLOCATION, PLANNING, SUIVI (BAPS)
Le BAPS organise la mission dans le temps (durée, dates) et
l’espace (sites, auditeurs), de la fin de la phase étude à la
diffusion du rapport, il est reflété par l’état d’avancement de
la mission régulièrement mis à jour
OUTILS ET DOCUMENTS DE TRAVAIL
Mission : ………………………..……………………
Opérations
Semainedu Semainedu Semaine du ….. Semaine du ………
L M M J V L M M J V L M M J V L M M J V
Signature de l'ordrede
mission
I - Etude et familiarisation
▪ Réunion d'ouverture
▪ Compte rendu dela
réunion d'ouverture
▪ QCI
▪ Rapport d'orientation
▪ P de V
II - Vérification
▪ FRAP
III - Conclusion
▪ Projet de rapport
▪ Réunion de validation
▪ Rapport définitif